一直以來，漏洞管理都被當做一項工程任務，沒有將安全漏洞與業務的關聯，及其實際造成的威脅考慮進去。

隨著一些防護不周的新技術的采納，比如物聯網(IoT)；以及網絡犯罪活動的不斷升級，更具破壞性的入侵事件也在增加。隨后的監管與法律審查，暴露出了這一傳統方式的缺陷。這就引出了傳統漏洞管理局限性，以及可以采取什么措施來驅動以風險為中心的新方法的問題。最終目標，是要暴露出迫在眉睫的威脅以便及時修復，并更有效減小不斷擴張的攻擊界面所承受的風險壓力。

《2017美國網絡犯罪調查情況》表明，39%的受訪者報告稱過去12個月中網絡安全事件的頻度有所上升。這在有關數據泄露和新發現漏洞的日常新聞報道中也有所反映。因而，公司企業計劃升級其IT和數據安全，以避免未來的網絡攻擊。基于《2014-2017 CIO狀態》，如今安全問題已成為緊跟在達成預設盈利目標之后的企業第二大頭等要務。

面對2017數據泄露潮，我們得考慮傳統漏洞管理方法是否依然適用，僅僅升級現有方法或工具是否足以應對。傳統中型企業面對的，是其整個生態系統中平均有20萬個漏洞的現狀，其安全分析師常常陷入不知道從哪兒開始的窘境。考慮到企業攻擊界面還在持續膨脹，從終端、應用、數據庫、移動設備到IoT都是漏洞滿滿，情況只會越來越糟。這也是為什么Gartner在其《2017威脅態勢》中，將該情況比喻為“你的屋頂正在漏水，且越來越漏”的原因。

漏洞不是什么新出現的事物，計算機面世時就有漏洞的存在。雖然漏洞管理工具和實踐在過去幾十年有所發展，添加了身份驗證或代理掃描之類的新功能，其核心卻依然仰仗由事件響應與安全團隊論壇(FIRST)維護通用漏洞評分系統(CVSS)。

很容易就會被CVSS評分誤導，陷入數字游戲當中。但這些操作往往只能降低紙面上的風險，而不是實際上的。傳統漏洞管理方法執行的是漸進式風險降低操作。他們的修復重點，要么放在高CVSS的嚴重漏洞上（所謂以漏洞為中心的模式），要么根據資產的價值和暴露面來定（比如面向互聯網、第三方訪問、含有敏感數據、提供業務關鍵功能等等；所謂資產為中心的模式）。然而，不幸的是，兩種模式往往都落入以最少的補丁封堵最多風險的境地。

這些傳統方法再也不能滿足當今威脅態勢的需求。Gartner表示，公司企業應將其漏洞管理操作轉向以威脅為中心的模式，實現臨近威脅清除，而不是逐步的風險減小。即將到來的威脅可通過關聯漏洞與其流行率加以識別：

漏洞被惡意軟件、勒索軟件或漏洞利用工具包盯上了嗎？

有攻擊者利用該漏洞針對我們的同行公司嗎？

該新模式下，臨近威脅的緩解優先級會被拉高。雖然不能預測誰會攻擊我們，但至少可以預估誰或什么東西有可能成功實施攻擊。

最后，計劃“升級”已有漏洞及補丁管理操作的公司企業，應跳出自身當前安全態勢的局限，以新興安全分析和網絡風險管理功能來增強工具集，構筑基于場景和目標的方法，評估“可能的”威脅，預計潛在威脅的影響和后果。